Criteri ed indirizzi sulla tutela della riservatezza dei dati personali contenuti in archivi e banche – dati comunali

Deliberazione G.C. n.181 del 21/03/2000

Art. 1 Oggetto ed individuazione delle finalitá istituzionali e di interesse pubblico
Art. 2 Finalitá della trasmissione e dello scambio di dati con soggetti pubblici e privati
Art. 3 Definizioni di riferimento e correlazione con normative specifiche
Art. 4 Individuazione delle banche dati
Art. 5 Titolare, Responsabili ed Incaricati
Art. 6 Trattamento dei dati
Art. 7 Misure di sicurezza
Art. 8 Protocollo d’intesa
Art. 9 Informazione
Art. 10 Diritti dell’interessato
Art. 11 Controlli
Art. 12 Disposizioni finali e transitorie

Art. 1: Oggetto ed individuazione delle finalitá istituzionali e di interesse pubblico

1. I presenti criteri ed indirizzi disciplinano il trattamento dei dati personali contenuti nelle banche dati organizzate, gestite od utilizzate dall’Amministrazione comunale, in relazione allo svolgimento delle proprie finalitá istituzionali, in attuazione dell’art. 27 della legge 31 dicembre 1996, n. 675 e successive modificazioni., nonché in relazione al trattamento dei dati sensibili per attività che perseguono rilevanti finalità di interesse pubblico, in attuazione dell’art.22 della stessa legge.
2. Per finalitá istituzionali si intendono:
   1. le funzioni previste dalla legge, dallo Statuto, dai regolamenti;
   2. le funzioni svolte per mezzo di convenzioni, accordi, intese e mediante gli strumenti di programmazione negoziata previsti dalla legislazione vigente.
   3. le funzioni collegate all’accesso ed alla erogazione dei servizi resi dal Comune agli utenti.
3. Le attività che perseguono rilevanti finalità di interesse pubblico sono individuate, per il trattamento dei dati sensibili, dal D.lgs. n.135/99, da altre leggi e dal garante.

Art. 2: Finalitá della trasmissione e dello scambio di dati con soggetti pubblici e privati

1. Il Comune e le sue articolazioni organizzative a carattere autonomo, garantendo che il trattamento dei dati personali si svolga nel rispetto del diritto alla riservatezza ed all’identitá personale delle persone fisiche e giuridiche, favoriscono la trasmissione e lo scambio di dati o documenti tra le banche dati e gli archivi degli Enti territoriali, degli Enti pubblici, dei gestori, degli esercenti, degli incaricati di pubblico servizio, nonché di altri soggetti pubblici e privati, anche associativi, che sviluppino in collaborazione con l’Amministrazione comunale attivitá connesse alla realizzazione delle finalitá istituzionali e di rilevante interesse pubblico di cui al precedente art. 1.

Art. 3: Definizioni di riferimento e correlazione con normative specifiche)

1. Per le definizioni di banca dati, di trattamento, di dato personale, di titolare, di responsabile, di incaricato, di interessato, di comunicazione, di diffusione, di dato anonimo, di blocco e di Garante si fa riferimento a quanto previsto dall’art. 1, comma 2, della Legge 31 dicembre 1996, n. 675.
2. Alla gestione in via informatizzata dei dati personali, finalizzata allo svolgimento dell’attivitá amministrativa ed alla emanazione di atti e provvedimenti, si procede con l’atto amministrativo elettronico, che deve intendersi quale l’atto redatto con strumenti informatici o telematici, secondo le forme previste dall’art. 3 comma 2, della d. lgs. 12 febbraio 1993, n. 39.
3. La gestione dei documenti informatici contenenti dati personali è soggetta alla specifica disciplina prevista dal d.p.r. 10 novembre 1997, n. 513.
4. La sicurezza dei dati personali contenuti nei documenti di cui al precedente comma 3 è assicurata anche mediante adeguate soluzioni tecniche connesse all’utilizzo della firma digitale.

Art. 4: Individuazione delle banche dati

1. Le banche dati gestite dalla Amministrazione comunale sono individuate con deliberazione di Giunta Comunale.
2. Le banche dati possono essere gestite in forma elettronica e cartacea.
3. A fronte delle rilevanti finalità di interesse pubblico individuate dalla legge o dal garante, di cui all’art.1, c.3, in assenza della definizione delle tipologie di dati e delle operazioni eseguibili, per poter garantire il corretto svolgimento delle attività istituzionali il Comune provvede a determinare quali tipi di dati sensibili sono trattabili e quali forme di gestione su di essi possano essere realizzate
4. La Giunta adotta, secondo quanto previsto dalla Legge 127/97, specifiche disposizioni organizzative per i vari settori dell’amministrazione , volte a disciplinare i profili operativi del trattamento di dati sensibili nel rispetto dei criteri dettati dagli artt.1,2,3,4 del Dlgs n.135/99.

Le suddette disposizioni organizzative devono essere coerenti con i provvedimenti attuativi della Legge 675/96 e devono essere adottate con particolare riguardo per:

1. la corretta gestione del rapporto tra amministrazione e cittadini;
2. la semplificazione delle modalità di trattamento dei dati personali;
3. la definizione di adeguate garanzie per le operazioni inerenti ai dati sensibili.

Art. 5: Titolare, Responsabili ed Incaricati

1. Il Comune di Grosseto è titolare dei trattamenti dei dati personali gestiti dalle proprie articolazioni organizzative e delle banche – dati ad esse afferenti.
2. Con specifico atto del Sindaco, sono individuati, ai sensi dell’art. 8 della legge 31 dicembre 1996, n. 675, i responsabili preposti al trattamento dei dati personali contenuti nelle banche-dati individuate ai sensi del precedente articolo 4).
3. Nel medesimo atto di cui al comma 2 possono essere stabilite le modalitá di relazione e le forme di responsabilitá relative ai trattamenti o alla gestione di banche dati condivise da piú articolazioni organizzative.
4. I responsabili, provvedono, in relazione alle strutture di propria competenza, all’individuazione degli incaricati del trattamento, che sono i soggetti che effettuano materialmente le operazioni di trattamento , impartendo loro istruzioni circa le modalità del trattamento nel rispetto della legge e di quanto stabilito dal titolare.
5. Possono essere nominati incaricati , nelle forme di cui sopra, anche soggetti esterni che svolgano attività di trattamento dei dati personali in nome e per conto del Comune

Art. 6: Trattamento dei dati

1. I dati in possesso dell’Amministrazione sono di norma trattati in forma elettronica o mediante l’ausilio di sistemi automatizzati.
2. Le presenti disposizioni si applicano, in quanto compatibili, al trattamento dei dati in forma non automatizzata, fatta salva la specifica disciplina del diritto di accesso contenuta nell’apposito regolamento.
3. Nelle ipotesi in cui la legge, lo Statuto o i vari Regolamenti dell’Ente prevedano pubblicazioni obbligatorie di atti e/o provvedimenti, il responsabile del procedimento adotta le misure eventualmente necessarie per garantire la riservatezza dei dati sensibili, di cui all’art. 22 della legge 31 dicembre 1996, n. 675 e valuta la pertinenza e non eccedenza dei dati stessi, nonché la necessità rispetto alla finalità delle presenti disposizioni.
4. E’ esclusa la messa a disposizione o la consultazione di dati in blocco e la ricerca per nominativo di tutte le informazioni contenute nella banca dati, senza limiti di procedimento o settore, ad eccezione delle ipotesi di trasferimento di dati tra enti pubblici o associazioni di categoria, disciplinate al successivo art. 8.
5. Il divieto di cui al precedente comma 4 non si applica al personale dipendente del Comune e delle sue articolazioni organizzative a carattere autonomo, che per ragioni di ufficio acceda alla informazione e ai dati stessi.

Art. 7: Misure di sicurezza

1. I responsabili del trattamento di cui all’art.5 provvedono all’adozione delle misure di sicurezza previste dall’art.15 della L.675/96, di seguito elencate , sulla base delle direttive e delle istruzioni ricevute dal Sindaco, al fine di:
   1. ridurre al minimo il rischio di distruzione o perdita, anche accidentale, dei dati memorizzati su supporti magnetici e ottici gestiti, nonché della banche-dati e dei locali ove esse sono collocate.
   2. evitare l’accesso non autorizzato alle banche dati, alla rete e, in generale, ai servizi informatici del Comune
   3. prevenire:
      • trattamenti dei dati non conformi alla legge od ai regolamenti;
      • la cessione o la distruzione dei dati in caso di cessazione del trattamento.

1. 1. QUALITA’ DEI DATI:

Ai sensi dell’art.9 della Legge, i Responsabili e gli incaricati avranno la massima cura nel controllare che la raccolta ed il trattamento dei dati , oltre che leciti e corretti, attengano a scopi determinati ed esplicitati negli atti di indirizzo , che non eccedano le finalità per cui sono raccolti e trattati e, qualora necessario, siano tempestivamente aggiornati.

L’atto formale di designazione dell’incaricato dovrà necessariamente prescrivere che lo stesso avrà accesso ai soli dati personali strettamente necessari per adempiere i compiti assegnatigli.

1. 1. TRATTAMENTO DEI DATI MEDIANTE ELABORATORI O STRUMENTI AUTOMATIZZATI:

Qualora l’accesso e il trattamento dei dati avvenga mediante l’utilizzo di elaboratori non accessibili da altri elaboratori terminali, con il provvedimento di individuazione degli incaricati dovrà essere fornita agli stessi una password per l’accesso ai dati; per motivi organizzativi , in presenza di più incaricati, può essere fornita una sola parola chiave, la quale tuttavia dovrà essere sostituita qualora uno degli incaricati perda tale qualità . Il titolare o i Responsabili possono disporre nell’atto di nomina che gli stessi incaricati siano preposti alla custodia della password.

Nel caso di trattamento di dati effettuabile mediante l’utilizzo di elaboratore di rete accessibile da altri terminali , ciascun utente o incaricato di trattamento sarà fornito di un codice identificativo personale per l’utilizzazione della procedura. I codici identificativi personali devono essere assegnati e gestiti in modo che ne sia prevista la disattivazione in caso di perdita della qualità che consentiva l’accesso all’elaboratore o di mancato utilizzo dei medesimi per un periodo superiore a sei mesi.

Il sistema di rete e le procedure da esso gestite devono prevedere delle modalità selettive che escludano l’accesso dei terminali ai dati riferiti a procedure di competenza dei settori specifici.

1. 1. TRATTAMENTO DI DATI CON STRUMENTI NON AUTOMATIZZATI:

In occasione di trattamento di dati personali contenuti in atti e documenti di tipo cartaceo o comunque , in ogni altro caso di trattamento non automatizzato , le direttive impartite agli incaricati, dovranno contenere la limitazione del trattamento ai soli dati strettamente necessari per l’adempimento dei compiti assegnati . Tali atti e documenti saranno conservati a parte e l’accesso agli stessi sarà consentito in modo selezionato.

1. 1. CONSERVAZIONE DEI DATI :

Per la conservazione dei dati , atti e documenti , dovranno essere rispettate le seguenti misure:

1. 1. 1. gli atti e documenti contenenti dati personali dovranno essere conservati in fascicoli distinti per ogni settore di attività o in relazione alla tipologia di materia trattata o di provvedimento finale da adottare ;
      2. la conservazione dei fascicoli deve avvenire con modalità tali che escludano , anche accidentalmente, l’accesso indiscriminato;
      3. qualora gli atti e documenti contengano dati di cui agli artt. 22 e 24 della Legge (dati sensibili), gli stessi saranno conservati a parte ed in contenitori muniti di serratura;
      4. per il trattamento dei dati contenuti su supporti magnetici, gli incaricati, oltre alle misure di cui sopra, avranno cura di dotare il supporto medesimo con codici o parole chiave atte ad impedire comunque l’accesso a terzi non autorizzati.

1. 1. LOCALI CONTENENTI ARCHIVI:

Gli Uffici e gli altri locali in cui vengono detenuti schedari e banche dati ,anche su supporto informatico, dovranno essere dotati di serrature di sicurezza ed infissi idonei a garantire la sicurezza dall’esterno.

Art. 8: Protocollo d’intesa

1. La trasmissione di dati o documenti alle banche dati di cui sono titolari i soggetti pubblici e privati indicati al precedente art. 2 è preceduta da uno specifico protocollo d’intesa che contenga, di norma, l’indicazione del titolare e del responsabile della banca dati e delle operazioni di trattamento, nonché le modalitá di connessione, di trasferimento e di comunicazione dei dati.

Art. 9: Informazione

1. L’Amministrazione comunale garantisce, secondo quanto previsto dalla legge 31 dicembre 1996, n. 675, ai soggetti che ad essa conferiscono dati ogni necessaria informazione, favorendo la conoscenza delle modalitá di gestione a tal fine adottate.
2. Le informative di cui all’art. 10 della Legge 675/96 sono predisposte dal responsabile del trattamento dati e vengono fornite in calce ai bandi ed alle schede di raccolte dati, inserite negli schemi di accordo, convenzione, intesa e simili, nonché diffuse anche a mezzo Internet

Art. 10: Diritti dell’interessato

1. Ai sensi dell’art. 13 della Legge, gli interessati hanno diritto:
   1. all’accesso gratuito ai registri contenenti dati personali che li riguardano;
   2. di ottenere notizie circa l’esistenza o meno di dati personali;
   3. la loro correzione , rettifica o integrazione e di opporsi al trattamento .
2. Qualora dalla ricerca non emerge l’esistenza di dati che lo riguardano, l’interessato è tenuto al pagamento delle spese sostenute; in caso di estrazione di copie, dallo stesso è dovuto il rimborso delle spese.
3. Qualora dal trattamento dei dati derivi un danno all’interessato, lo stesso può proporre azione di risarcimento ex art. 2050 C.C.

Art. 11: Controlli

1. A cura dei responsabili sono periodicamente attivati controlli, anche a campione, al fine di garantire la sicurezza della banca-dati, e l’attendibilitá dei dati inseriti.

Art. 12: Disposizioni finali e transitorie

1. Per quanto non previsto nel presente atto, si applicano le disposizioni di cui alla legge 31 dicembre 1996, n. 675 e successive modificazioni.
2. Per i limiti e casi di esclusione del diritto di accesso ai documenti per motivi di riservatezza, si fa rinvio a quanto previsto dal Regolamento per il procedimento amministrativo e diritto di accesso.